Lima, marzo de 2026.- Una nueva campaña de phishing está utilizando notificaciones legítimas de Google Tasks para infiltrarse en empresas y robar credenciales corporativas sin levantar sospechas. La alerta fue emitida por Kaspersky, cuyos investigadores identificaron que los atacantes se apoyan en servicios reales de Google para evadir filtros de seguridad y manipular la confianza de los empleados.
De acuerdo con el análisis, los correos llegan desde el dominio oficial @google.com y emplean el sistema de notificaciones de Google Tasks, lo que incrementa la credibilidad del mensaje y reduce las probabilidades de detección por soluciones tradicionales de seguridad del correo electrónico.
Cómo funciona la campaña de phishing
El ataque inicia con un mensaje que aparenta ser una notificación interna legítima, generalmente con el asunto “You have a new task” (“Tienes una nueva tarea”). El contenido sugiere que la empresa ha adoptado Google Tasks como herramienta corporativa para la gestión de actividades, lo que genera urgencia y presión para actuar de inmediato.
En muchos casos, el mensaje incluye indicadores de alta prioridad y plazos ajustados, una técnica clásica de ingeniería social diseñada para provocar respuestas impulsivas. Al hacer clic en el enlace, el usuario es redirigido a un formulario fraudulento que simula ser una página de “verificación de empleado”.
Bajo el pretexto de validar información interna o confirmar el estatus laboral, se solicita al trabajador que ingrese sus credenciales corporativas. Una vez entregados estos datos, los atacantes obtienen acceso directo a cuentas empresariales críticas.
Por qué este ataque es especialmente peligroso
A diferencia de campañas tradicionales que suplantan marcas o usan dominios sospechosos, esta estrategia no falsifica a Google, sino que abusa de sus notificaciones reales como canal de distribución. Esto le permite:
- Evadir filtros antiphishing basados en reputación de dominio
- Superar la desconfianza natural de los usuarios
- Incrementar la tasa de éxito sin necesidad de malware
“Lo más preocupante es que el atacante no necesita instalar software malicioso para causar daño inmediato. Basta con robar credenciales para tomar control de cuentas corporativas, acceder a correos y herramientas internas, y escalar el ataque hacia fraudes o incidentes mayores”, explica María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.
Impacto para las organizaciones
Las consecuencias de este tipo de ataque pueden ser críticas. El acceso no autorizado a una sola cuenta corporativa puede derivar en:
- Movimiento lateral dentro de la red
- Escalada de privilegios
- Acceso a información sensible o propiedad intelectual
- Fraudes financieros, como Business Email Compromise (BEC)
- Preparación del entorno para ataques de ransomware
Además del impacto operativo, las empresas se exponen a riesgos reputacionales, sanciones regulatorias y pérdidas económicas asociadas a filtraciones de datos. En muchos casos, los atacantes pueden permanecer sin ser detectados durante semanas, aumentando el alcance del daño.
La confianza como nuevo punto débil
Este incidente refuerza una tendencia preocupante: la confianza automática en plataformas legítimas se ha convertido en uno de los principales vectores de ataque. “Hoy el punto débil ya no es solo el ‘link’ malicioso, sino la confianza en servicios ampliamente utilizados cuando son explotados como canal de ingeniería social”, añade Manjarrez.
La sofisticación de estas campañas obliga a las organizaciones a revisar sus modelos de seguridad, incorporando controles que vayan más allá del dominio del remitente y analicen el contexto, el comportamiento y la intención del mensaje.
Recomendaciones para reducir el riesgo
Ante este escenario, los expertos de Kaspersky recomiendan a empresas y empleados adoptar medidas preventivas claras:
- Desconfiar incluso de notificaciones provenientes de dominios legítimos
Si se recibe una “nueva tarea” o solicitud inesperada, confirmar primero con el equipo o el área de TI si se trata de un proceso real. - Verificar cuidadosamente los enlaces antes de ingresar información
Revisar la URL completa del sitio y asegurarse de que corresponda al portal oficial de la empresa. Ante cualquier duda, no continuar. - Activar la verificación en dos pasos en todas las cuentas corporativas
Esta capa adicional reduce significativamente el riesgo de accesos no autorizados, incluso si la contraseña se ve comprometida. - Implementar soluciones de seguridad especializadas para correo y entornos corporativos
Herramientas de protección avanzada permiten detectar intentos de phishing que utilizan dominios legítimos, así como identificar accesos inusuales y comportamientos sospechosos dentro de la red.
Un llamado a reforzar la cultura de ciberseguridad
Más allá de la tecnología, este tipo de campañas demuestra la importancia de capacitar a los empleados y reforzar una cultura de ciberseguridad basada en la verificación y la cautela. La prevención sigue siendo la primera línea de defensa frente a ataques que, cada vez más, se apoyan en servicios confiables para engañar a las organizaciones.